Сканирование уязвимостей со вкусом Яндекса. Тарас...
DESCRIPTION
Тарас Иващенко, ЯндексАдминистратор информационной безопасности в Яндексе. Специалист по информационной безопасности, проповедник свободного программного обеспечения, автор Termite, xCobra и участник проекта W3AF.Тема докладаСканирование уязвимостей со вкусом Яндекса.ТезисыВ докладе будет рассказано о внедрении в Яндексе сканирования сервисов на уязвимости как одного из контроля безопасности в рамках SDLC (Secure Development Life Cycle). Речь пойдет о сканировании уязвимостей на этапе тестирования сервисов, а также о сканировании сервисов, находящихся в промышленной эксплуатации. Мы рассмотрим проблемы, с которыми столкнулись, и объясним, почему в качестве основного механизма решили выбрать открытое программное обеспечение (сканер уязвимостей w3af), доработанное под наши нужды.TRANSCRIPT
![Page 1: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/1.jpg)
Сканирование со вкусомЯндекса
Докладчик: Тарас Иващенко [email protected]Мероприятие: YaC, Москва, 19 сентября 2011 года
![Page 2: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/2.jpg)
План• Цикл разработки ПО• Безопасность конфигураций• Сканирование на уязвимости• Проблемы и решения• Happy end?
![Page 3: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/3.jpg)
Особенности и реалии
![Page 4: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/4.jpg)
Цикл разработки ПО
![Page 5: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/5.jpg)
Цикл разработки ПО
![Page 6: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/6.jpg)
Безопасность конфигурацийOWASP Top 10 > SecurityMisconfiguration• /Makefile, /CVS/Entries и т.п.• Устаревшие версии ПО• Отладочная информация• Доступные специнтерфейсы
![Page 7: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/7.jpg)
Безопасность конфигурацийРешение• Регулярное сканирование всего: nmap + w3af + pykto• Более тысячи целей• Автоматическое оповещение ответственных
администраторов• Доработки вернули в проект w3af• Profit!!11
![Page 8: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/8.jpg)
Свободное ПО и Яндекс
![Page 9: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/9.jpg)
Сканирование на уязвимостиТекущий подход• Наши тестировщики "умеют" ещё и безопасность• Регулярные сканирования перед релизами• Охват всех сервисов
![Page 10: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/10.jpg)
Сканирование на уязвимостиТекущее решение• Проприетарное• Одно из самых мощных• Слабо поддаётся интеграции в инфраструктуру
компании• "Мелочи", которые портят всё: ЧПУ, AJAX,
платформозависимость ;(• Цена
![Page 11: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/11.jpg)
Сканирование на уязвимости
![Page 12: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/12.jpg)
Сканирование на уязвимостиw3af• Фреймворк для аудита безопасности веб-приложений• GNU GPL v2, Python (и "батарейки")• Возможность расширения: сотни плагинов• Мы не будем писать проект "с нуля"!• Международный проект со своим сообществом
![Page 13: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/13.jpg)
Сканирование на уязвимостиНаши доработки• Полноценный веб-интерфейс• Пользователи• ЧПУ• Удобная аутентификация в сервисах• Тестируем веб 2.0 приложения
![Page 14: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/14.jpg)
w3afВеб-интерфейс• Django• Многопользовательский режим• Планирование сканирований• Интеграция с внутренними сервисами• Статистика
![Page 15: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/15.jpg)
w3afВеб-интерфейс
![Page 16: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/16.jpg)
w3afЧПУ
•http://fotki.yandex.ru/top/users/fotograf-17/view/361364/• Набор правил:
/top/users/%s/view/%d//controller/action/%d/...
![Page 17: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/17.jpg)
w3afУдобная аутентификация всервисах• Существующие подходы ("запись логина")• Auth-плагины:
; @include Pentest_Profile[auth.yandex]username = test_userpassword = **************passport_host = passport.yandex.ru
![Page 18: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/18.jpg)
Веб 1.0 -> 2.0Классический сканер c веб 2.0 работает плохо!
![Page 19: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/19.jpg)
Веб 2.0Как сканироватьавтоматизированно?• Встроенный веб-браузер с JavaScript-движком• Selenium• Парсинг и подмешивание логов• ..?
![Page 20: Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс](https://reader034.vdocuments.net/reader034/viewer/2022042813/54621fafaf79597f198b6f37/html5/thumbnails/20.jpg)
Присоединяйся!У нас есть печеньки!...